https://mobile.opennet.me/openforum/vsluhforumID3/67858.html В заметке приведены различные варианты защиты от bruteforce-атак, на примере блокирования последовательного подбора паролей через ssh.<br><br>Общий шаблон правил<br><br> iptables -P INPUT DROP<br> iptables -P OUTPUT DROP<br> iptables -P FORWARD DROP<br><br> iptables -A INPUT -p all -i lo -j ACCEPT<br> iptables -A OUTPUT -p all -o lo -j ACCEPT<br><br>Здесь будут наши правила (вариант)<br><br> iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT<br> iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br><br><br>++ Вариант 1, используя модуль recent:<br><br>Добавляем ip в таблицу<br> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK &#8212;set<br><br>С одного ip разрешаем 2 (--hitcount 3-1) запроса на соединение (NEW) в минуту (60 секунд), <br>третье блокируется и все последующие в течении минуты<br> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --update --seconds 60 --rttl --hitcount 3 -j DROP<br><br>Разрешаем входящие соединения на 22 https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#11 Sat, 02 Oct 2010 08:32:52 GMT Ребята может подскажите что это может быть.<br>Обнуляю iptables, потом использую один из выше описаных методов. При этом начинают блокироватся абсолютно все пакеты хоть коннект и не превышает лимиты по блокировке.<br>Уже второй день трахаюсь с Iptables и вроде все правелньо, но почему то не работает.<br><br>Заранее благодарен за ответ)<br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#10 Wed, 16 Jun 2010 11:40:23 GMT &gt;кстате вот это значение net.ipv4.netfilter.ip_conntrack_max = 524288 (большущее) <br>&gt;сбрасывается если iptables рестартовать и ставится дефолтовое. <br><br>Было бы подозрительнее обратное.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#9 Wed, 16 Jun 2010 07:16:42 GMT кстате вот это значение net.ipv4.netfilter.ip_conntrack_max = 524288 (большущее) сбрасывается если iptables рестартовать и ставится дефолтовое.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#8 Mon, 14 Jun 2010 18:01:08 GMT он имеет ввиду общий траф<br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#7 Mon, 14 Jun 2010 12:06:30 GMT 250 mbit/sec трафика по SSH порту? или может быть 250 мегабит трафика зарпосов на открытие соединения по 22 порту?<br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#6 Sun, 13 Jun 2010 16:20:15 GMT У меня на потоке 250 Мбит (400 Мбит если считать в обе стороны) загрузки от правила с recent практически не видно. Я помимо своих серверов, защищаю еще и внешние сервера от брутфорса ссх моими юзерами. Вот бы все так делали :)<br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#5 Thu, 10 Jun 2010 17:04:37 GMT Можно потюнить, и малость разгрузить ...<br><br>iptable -N TCP_TABLES;<br>iptable -N SSH_TABLES;<br><br>iptables -A INPUT -p tcp -j TCP_TABLES;<br>iptables -I TCP_TABLES --dport 22 -j SSH_TABLES;<br><br>...<br>и т.д.<br>...<br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#4 Thu, 10 Jun 2010 06:24:24 GMT ну если эти параметры потюнить то вероятно выдержит<br><br>HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 / (x / 32)<br>where x is the number of bits in a pointer (for example, 32 or 64 bits)<br><br>net.ipv4.ip_conntrack_max = 524288<br>net.ipv4.netfilter.ip_conntrack_max = 524288<br>net.ipv4.netfilter.ip_conntrack_buckets = 65536<br><br>пс: использую модуль string с порядка 60-ти проверками вроде норма нагрузка почти нулевая при 50 запросов в секунду<br> https://mobile.opennet.me/openforum/vsluhforumID3/67858.html#3 Thu, 10 Jun 2010 05:40:39 GMT А вот скажите мне инженеры, какой ширины поток эти модули выдерживают?<br>